中國是全球最大、增長最快、最為復(fù)雜的制造業(yè)國家,制造業(yè)企業(yè)轉(zhuǎn)型需求和工業(yè)互聯(lián)網(wǎng)平臺供給能力不足是我國發(fā)展工業(yè)互聯(lián)網(wǎng)平臺主要挑戰(zhàn)。軟板小編了解到,近年來,國家也是高度重視工業(yè)互聯(lián)網(wǎng)的發(fā)展,各大制造業(yè)企業(yè)也開始建立符合自身的智能車間。工業(yè)互聯(lián)網(wǎng)、機床聯(lián)網(wǎng)越來越多的成為互聯(lián)網(wǎng)相關(guān)人員和企業(yè)管理者談?wù)摰脑掝}。
先來看看我們在打造職能車間,工業(yè)互聯(lián)網(wǎng)的時候遇到的問題:
1、 終端無線發(fā)射器信號不穩(wěn)定,或有無線信號盲區(qū)的存在;
2、 無線信號管理薄弱,自帶手機隨意連接無線信號導(dǎo)致工業(yè)用無線設(shè)備資源被搶占;
3、 網(wǎng)絡(luò)準入管理松散,病毒乘機而入;
4、 因物理位置上工控網(wǎng)絡(luò)與管理網(wǎng)絡(luò)交叉重疊存在,為聯(lián)網(wǎng)方便,工控網(wǎng)絡(luò)與管理網(wǎng)絡(luò)之間沒有邊界。
針對上述問題,我們要求我們的工控網(wǎng)絡(luò)要遵循以下設(shè)計原則:
1、 工業(yè)以太網(wǎng)主干網(wǎng)絡(luò)基于環(huán)網(wǎng)或星型雙鏈路結(jié)構(gòu)構(gòu)建,主干網(wǎng)中配置具有管理環(huán)網(wǎng)功能交換機(以太網(wǎng)管理器);
2、 現(xiàn)場設(shè)備需具備工業(yè)以太網(wǎng)接口接入工業(yè)以太網(wǎng)。
3、 采用工業(yè)級以太網(wǎng)設(shè)備構(gòu)建,包含交換機、路由器、網(wǎng)絡(luò)隔離產(chǎn)品等,確保工業(yè)以太網(wǎng)在網(wǎng)絡(luò)通訊的穩(wěn)定性、抗干擾能力以及防護等級等方面要求。
4、工控網(wǎng)絡(luò)與管理網(wǎng)絡(luò)之間必須設(shè)置邊界防火墻,邊界防火墻要求:為保證可用性,工控網(wǎng)與管理網(wǎng)絡(luò)邊界的防火墻要求雙機部署;
5、 防火墻要求設(shè)置DMZ區(qū),可用于部署與MES業(yè)務(wù)對接相關(guān)的服務(wù)器。
6、 接入邊界及線路要求:工控網(wǎng)接入IT網(wǎng)絡(luò)的邊界可在IT網(wǎng)絡(luò)的匯聚或核心上;
7、 接入線路要求:接入線路要求至少千兆線路;
8、 安全策略要求:防火墻策略按需開通,默認關(guān)閉;
9、 無線AC可在工業(yè)網(wǎng)獨立部署,采用5G頻段無線組網(wǎng)。
工控網(wǎng)安全建設(shè)目標:
1、工控網(wǎng)絡(luò)安全防護原則:以區(qū)域劃分、深度防御為基礎(chǔ)進行防護,主用手段包括防護軟件的部署、防護設(shè)備的部署、技術(shù)防護及深層防御。
2、注重網(wǎng)絡(luò)結(jié)構(gòu)安全的可行性,確保與生產(chǎn)工藝的結(jié)合。
3、對工控網(wǎng)絡(luò)各個層級間進行邏輯隔離,防止網(wǎng)絡(luò)中病毒代碼的傳播,對設(shè)備進行保護;
4、對工控系統(tǒng)現(xiàn)場設(shè)備層與生產(chǎn)控制層和管理執(zhí)行層間進行防護,形成縱深防御的安全部署;
5、保障工控網(wǎng)絡(luò)能夠?qū)θ肭中袨檫M行詳細完整的記錄,為以后的調(diào)查取證提供有力保障;
6、保障工控網(wǎng)絡(luò)不受偽裝成合法訪問的攻擊行為的安全威脅;
結(jié)合工業(yè)控制系統(tǒng)信息安全防護思路,FPC廠發(fā)現(xiàn),可以將典型工業(yè)控制系統(tǒng)分為四層,即生產(chǎn)管理層(IT)、監(jiān)督控制層(傳輸)、現(xiàn)場控制層、現(xiàn)場設(shè)備層每一個工業(yè)控制系統(tǒng)應(yīng)單獨劃分在一個區(qū)域里。在區(qū)域邊界處部署工業(yè)防火墻設(shè)備,實現(xiàn)IP\端口的訪問控制、應(yīng)用層協(xié)議訪問控制、流量控制等?;蛘卟渴鹁W(wǎng)閘設(shè)備,切斷網(wǎng)絡(luò)鏈路層鏈接,完成兩個網(wǎng)絡(luò)的數(shù)據(jù)交換。
在操作站、工程師站部署操作站安全管理系統(tǒng)實現(xiàn)移動存儲介質(zhì)使用的管理、軟件黑白名單管理、聯(lián)網(wǎng)控制、網(wǎng)絡(luò)準入控制、安全配置管理等。工控運維審計系統(tǒng)由運維管理服務(wù)器和運維審計設(shè)備組成,運維人員運維現(xiàn)場設(shè)備時先接入運維審計設(shè)備,再連接現(xiàn)場設(shè)備。運維審計設(shè)備可審計運維操作命令、運維工具使用錄像等,亦可進行防病毒、訪問控制等安全防護。
Wifi入侵檢測與防護設(shè)備是放在基于wifi組網(wǎng)的現(xiàn)場設(shè)備網(wǎng)絡(luò)中,可實現(xiàn)非法AP阻斷,非法外來設(shè)備接入生產(chǎn)網(wǎng)絡(luò),基于Wifi的入侵檢測等。電路板廠覺得,在工業(yè)以太網(wǎng)匯聚交換機上部署工控異常監(jiān)測系統(tǒng)及工控網(wǎng)絡(luò)流秩序分析診斷系統(tǒng)。檢測工業(yè)控制系統(tǒng)內(nèi)部入侵行為,異常操作行為,發(fā)現(xiàn)異常流量和異常訪問關(guān)系等。
部署工控漏洞掃描系統(tǒng),在系統(tǒng)檢修、停機或新系統(tǒng)上線時進行漏洞掃描,對漏洞進行修補。部署安全配置基線核查系統(tǒng),在系統(tǒng)檢修、停機或新系統(tǒng)上線時進行配置基線檢查,重點關(guān)注操作站、工程師站、服務(wù)器等開放的服務(wù),賬號密碼策略、協(xié)議的安全配置等問題,對風(fēng)險進行安全加固。